Em maio deste ano, o laboratório de segurança e ameaças da Trend Micro detalhou a aliança entre o cibercrime e o crime físico no roubo de iPhones. Uma vez que se consegue acesso aos dados do Apple ID da vítima, os criminosos podem desbloquear o iPhone e revendê-lo em mercados clandestinos na Internet.
Desta vez, a Trend Micro decidiu ir ainda mais a fundo: em nova pesquisa lançada no começo de novembro, os pesquisadores seniores da Trend Micro – Fernando Mercês e Mayra Rosario – revelaram a existência de um mercado global considerável no esquema de iPhones roubados e, atrelado a isso, o roubo de dados do iCloud.
De Irlanda e Reino Unido até Índia, Argentina e Estados Unidos: a demanda por serviços de desbloqueio para telefones roubados é surpreendente. No ano passado, iPhones roubados foram vendidos em países da Europa Oriental por até US$ 2.100.
Como funciona o ataque
Após perder o seu iPhone ou ser roubado, o alvo do golpe recebe um e-mail ou SMS falsificado da Apple dizendo que seu dispositivo foi encontrado. Ao clicar no link, a pessoa automaticamente comprometerá as credenciais do iCloud, que serão reutilizadas para desbloquear o aparelho roubado.
Os cibercriminosos então subcontratam serviços de phishing de iCloud de terceiros para desbloquear os dispositivos.
Um conjunto de ferramentas que incluem MagicApp, Applekit e um "framework" para Find My iPhone chamado FMI.php automatizam os desbloqueios do iCloud para revender o dispositivo em mercados Underground.
Mapa de atuação
A base de clientes conta com indivíduos da Itália, França, Espanha, EUA, Índia, Arábia Saudita, Brasil e Filipinas. Enquanto a pesquisa da Trend Micro mapeou apenas três tipos diferentes de serviços e apps de desbloqueio do iCloud, sejam em redes sociais, propagandas online e sites e-commerce.
Os esquemas descobertos pela Trend Micro envolvem fraudadores de Kosovo, Filipinas, Índia e Norte da África. O fraudador por trás do desenvolvimento do AppleKit's é conhecido por ser ativo no dev-point, um fórum árabe popular.
Emails Phishing e credenciais
A Trend Micro esquematizou o modus operandi com os detalhes da operação. Uma vez que os dados iCloud das vítimas são roubados, as ferramentas também permitem o download da conta (para executar outras atividades maliciosas) e depois deletam os dados.
Outros serviços adicionais são oferecidos para ajudar os colegas fraudadores a criar seus próprios negócios. Um deles é o AppleKit, que inclui um painel web de dispositivos sequestrados.
Cibercrime e crime físico lado a lado
Com a evolução da Internet, a maneira como as informações são acessadas também avançou. Infelizmente, isso trouxe vantagens também ao crime físico e online. As ferramentas phishing descobertas pela Trend Micro mostram o quanto a "camaradagem" entre os dois universos criminosos pode funcionar perfeitamente bem.
Em setembro deste ano, cibercriminosos obtiveram credenciais do iCloud e usaram maliciosamente o serviço Find My Apple para bloquear usuários Mac fora de seus dispositivos. Em seguida, redefiniram o dispositivo e fizeram o usuário perder todos os seus dados.